OralisOralisRetour

Mentions légales & confidentialité

Informations juridiques, traitement des données et exercice de vos droits.

Introduction

La présente politique de confidentialité décrit comment Cabinet dentaire Lausanne-Chailly Sàrl, éditrice du service Oralis, traite les données personnelles collectées dans le cadre de l'utilisation du service. Elle est conforme au Règlement général sur la protection des données (RGPD, UE 2016/679) et à la Loi fédérale sur la protection des données révisée (nLPD, RS 235.1). En utilisant le service Oralis, vous reconnaissez avoir pris connaissance de cette politique.

Responsable du traitement

Le responsable du traitement des données est Cabinet dentaire Lausanne-Chailly Sàrl, dont le siège social est situé Chemin de Rovéréaz 5, 1012 Lausanne (Suisse), représentée par Dr Vincent Bezos en qualité de gérant. Pour le détail de l'identité de la société, voir la page Mentions légales.

Rôles : responsable et sous-traitant

Oralis est un service de documentation dentaire assistée destiné aux professionnels de santé. Les rôles en matière de protection des données se répartissent comme suit :

  • Pour les données de compte (praticien, cabinet, abonnement) : Cabinet dentaire Lausanne-Chailly Sàrl, éditrice d'Oralis, agit comme responsable du traitement.
  • Pour les données de patients traitées via Oralis par un cabinet utilisateur : le cabinet praticien utilisateur est responsable du traitement. Oralis (Cabinet dentaire Lausanne-Chailly Sàrl) intervient alors comme sous-traitant technique au sens de l'Art. 28 RGPD, dans les limites strictement nécessaires à l'exécution du service.

Délégué à la protection des données (DPO)

Un délégué interne à la protection des données est désigné au sein de Cabinet dentaire Lausanne-Chailly Sàrl. Toute demande liée à la protection des données peut être adressée à : privacy@oralis.ch

Catégories de données traitées

Oralis peut être amenée à traiter les catégories suivantes :

  • Données de compte utilisateur : prénom, nom, adresse email, mot de passe haché, préférences utilisateur.
  • Données du cabinet : raison sociale, identifiant d'entreprise, adresse, coordonnées professionnelles.
  • Données de patients (traitées pour le compte du cabinet utilisateur) : identifiants patient, historique clinique, documents de consultation, enregistrements audio, transcriptions et extractions structurées.
  • Données de santé au sens de l'Art. 9 RGPD : l'historique clinique, les transcriptions d'audio de consultation et les documents médicaux générés constituent des données de santé au sens de l'Art. 9 RGPD. Ces données sont traitées sous la responsabilité et sur instruction du cabinet praticien utilisateur, qui reste seul responsable du recueil du consentement éclairé de son patient.
  • Données techniques : adresse IP, identifiant d'agent utilisateur (user-agent), journaux d'audit, événements analytiques pseudonymisés.
  • Données de paiement : gérées directement par Stripe Inc., prestataire certifié PCI-DSS. Oralis ne stocke aucun numéro de carte bancaire.
  • Données de consentement : horodatage et version des conditions générales et de la politique de confidentialité acceptées, avec adresse IP et user-agent au moment de la collecte (preuve Art. 7(1) RGPD).

Utilisateurs mineurs : le service Oralis est destiné aux professionnels de santé adultes. Les données de patients mineurs sont traitées exclusivement sur instruction du cabinet praticien utilisateur, sous sa responsabilité et conformément aux règles applicables au consentement parental pour les actes médicaux.

Finalités et bases légales

Les traitements réalisés par Oralis poursuivent les finalités suivantes :

  • Création et gestion des comptes utilisateurs — base légale : exécution du contrat (Art. 6(1)(b) RGPD).
  • Fourniture du service de documentation dentaire assistée — base légale : exécution du contrat entre Oralis et le cabinet utilisateur, complétée le cas échéant par les instructions du cabinet praticien dans le cadre de la sous-traitance (Art. 28 RGPD).
  • Facturation, paiement et abonnement — base légale : exécution du contrat et respect d'obligations légales comptables (Art. 6(1)(b) et 6(1)(c) RGPD).
  • Support technique et résolution d'incidents — base légale : intérêt légitime (Art. 6(1)(f) RGPD), assurer la continuité du service.
  • Mesure d'audience et analytiques produit — base légale : consentement (Art. 6(1)(a) RGPD), recueilli via le bandeau cookies.
  • Envoi d'emails transactionnels (confirmation de compte, notifications liées au service) — base légale : exécution du contrat.
  • Journalisation d'audit et détection de fraude — base légale : intérêt légitime et respect d'obligations légales.
  • Traçabilité du consentement aux CGU et à la politique de confidentialité — base légale : obligation légale (charge de la preuve, Art. 7(1) RGPD).

Destinataires et sous-traitants

Oralis recourt à des sous-traitants soigneusement sélectionnés, chacun encadré par un accord de traitement des données (DPA) conforme à l'Art. 28 RGPD.

  • Infomaniak Network SA (Suisse) — hébergement des serveurs applicatifs, base de données, stockage objet (enregistrements audio) et transcription automatisée Whisper.
  • Supabase (instance hébergée par Oralis sur l'infrastructure Infomaniak en Suisse) — service d'authentification et base de données relationnelle.
  • Microsoft Azure OpenAI (Suisse, région Switzerland North) — traitement par intelligence artificielle (extraction structurée et génération de documents cliniques via modèles GPT-4).
  • Stripe Inc. (Irlande et États-Unis) — traitement des paiements par carte bancaire et gestion des abonnements.
  • Brevo SAS (France) — envoi des emails transactionnels.
  • Google LLC (États-Unis, uniquement en cas d'authentification via Google) — service OAuth optionnel pour la connexion utilisateur.
  • ip-api.com (opérateur tiers, hébergement hors UE/EEE) — service de géolocalisation IP appelé uniquement depuis la page d'accueil publique pour sélectionner automatiquement la devise affichée (CHF / EUR) en fonction du pays du visiteur. L'adresse IP est transmise le temps de la requête HTTP ; ip-api.com renvoie un code pays ISO. Aucune donnée n'est stockée côté Oralis ; le traitement est instantané.

Transferts internationaux de données

Les traitements réalisés par Infomaniak et Azure OpenAI sont localisés en Suisse. L'envoi d'emails via Brevo est réalisé en France (Union européenne).

Un transfert de données vers les États-Unis intervient pour deux sous-traitants :

  • Google LLC — encadré par les décisions d'adéquation Swiss-US Data Privacy Framework (DPF) et EU-US DPF, toutes deux actives à la date de publication.
  • Stripe Inc. — encadré par les mêmes décisions Swiss-US DPF et EU-US DPF, avec clauses contractuelles types (SCC) incorporées au Data Transfers Addendum de Stripe en filet.
  • ip-api.com (opérateur tiers, hébergement hors UE/EEE — États-Unis selon les informations publiques) : transfert ponctuel de l'adresse IP du visiteur de notre page d'accueil publique aux fins exclusives de résolution du code pays ISO et de sélection automatique de la devise affichée (CHF / EUR). L'adresse IP n'est pas stockée par Oralis ; le traitement est instantané. Aucune décision d'adéquation, ni clauses contractuelles types (CCT), ni accord de traitement des données (DPA) ne sont actuellement en place avec ce service. Une alternative self-hosted (base de données géographique offline type MaxMind GeoLite2) est à l'étude pour éliminer ce transfert. Le visiteur peut basculer manuellement entre CHF et EUR via le sélecteur disponible sur la section tarifs, sans transmission supplémentaire de données.

La Suisse bénéficie par ailleurs d'une décision d'adéquation de la Commission européenne, permettant les transferts entre l'UE et la Suisse sans garanties additionnelles.

Durées de conservation

Les durées de conservation appliquées sont les suivantes :

  • Compte utilisateur : pendant toute la durée de la relation contractuelle avec le cabinet, puis pendant une période additionnelle de 3 ans après la résiliation, pour satisfaire aux obligations légales applicables.
  • Enregistrements audio : 90 jours à compter de la consultation (purge automatique).
  • Transcriptions et documents cliniques : conservés tant que le cabinet praticien les maintient actifs. En cas de suppression à la demande, purge physique au plus tard 30 jours après la suppression logique.
  • Journaux d'audit : 6 ans, conformément à l'Art. 958f du Code des obligations suisse (archivage comptable).
  • Emails transactionnels : 1 an.
  • Données de consentement (CGU, politique de confidentialité) : pendant toute la durée de la relation contractuelle, au titre de la preuve de consentement exigée par l'Art. 7(1) RGPD.

Sécurité

Oralis met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS pour les échanges en transit, avec activation HSTS sur 2 ans.
  • Authentification par mot de passe stocké sous forme hachée (bcrypt).
  • Chiffrement des disques côté hébergeur Infomaniak.
  • Journalisation d'audit détaillée des actions sensibles (table AuditLog).
  • Assainissement automatique des données personnelles identifiables (PII) dans les journaux d'erreurs.
  • Limitation de taux (rate-limiting) sur les endpoints sensibles.
  • Headers de sécurité HTTP configurés (Content-Security-Policy, X-Frame-Options, Referrer-Policy, Permissions-Policy).

Des mesures additionnelles sont en cours de déploiement : authentification multi-facteurs (MFA) par TOTP en option utilisateur, audits de sécurité périodiques externes.

Vos droits

Conformément aux Art. 15 à 22 RGPD et à l'Art. 25 nLPD, vous disposez des droits suivants :

  • Droit d'accès — obtenir la confirmation que des données vous concernant sont traitées, ainsi qu'une copie de celles-ci.
  • Droit de rectification — faire corriger des données inexactes ou incomplètes.
  • Droit d'effacement  droit à l'oubli ») — obtenir la suppression de vos données sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement — en cas de contestation sur l'exactitude des données ou la licéité du traitement.
  • Droit à la portabilité — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime.
  • Droit de retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement effectué antérieurement.

Pour exercer ces droits, consultez la page Exercice de mes droits ou écrivez à privacy@oralis.ch. Le délai de réponse maximal est de 30 jours (Art. 12(3) RGPD), prorogeable une fois en cas de demande complexe.

Décisions automatisées et profilage par intelligence artificielle

Oralis recourt à l'intelligence artificielle pour la transcription audio (modèle Whisper) et l'extraction structurée ainsi que la génération de documents cliniques (modèles GPT-4). Aucune décision produisant des effets juridiques ou significatifs au sens de l'Art. 22 RGPD n'est prise de manière entièrement automatisée. Le praticien conserve à tout moment le contrôle éditorial via l'éditeur intégré (Tiptap) et un indicateur de confiance est affiché sur les extractions. L'intelligence artificielle est un outil d'aide à la documentation, en aucun cas un outil de décision clinique.

Cookies

Oralis utilise des cookies strictement nécessaires au fonctionnement du service (authentification, préférences), ainsi que des cookies analytiques soumis à votre consentement explicite recueilli via un bandeau dédié. Pour plus de détails, consultez la Politique cookies.

Droit de porter plainte

Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation applicable, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :

Modifications de cette politique

Cette politique peut être mise à jour pour refléter des évolutions techniques, juridiques ou organisationnelles. Les utilisateurs sont informés des modifications substantielles par email ou notification dans l'application. La version en vigueur est toujours consultable sur cette page avec la date de dernière mise à jour indiquée ci-dessous.

Contact

Pour toute question relative à cette politique ou au traitement de vos données : privacy@oralis.ch

Dernière mise à jour : 28 avril 2026 — version 1.1